Les identités décentralisées: une solution innovante pour la gestion de l'identité en ligne

Pour bien comprendre les identités décentralisées, il faut tout d’abord comprendre le changement de paradigme entre le web2 et le web3. Le web2 c’est la version d’internet que tout le monde utilise couramment, c’est instagram, facebook, gmail (CNBC, visité le 23.12.22) … La façon avec laquelle on vérifie l’identité sur le web2, c’est en utilisant une adresse mail et un mot de passe. Le problème qu’il y a avec cette méthode de management d’identité, c’est l’expérience utilisateur qui peut être fastidieuse à se rappeler de quelle adresse mail et quel mot de passe utilisé pour chaque site ou plateforme. Cela devient encore plus compliqué lorsqu’on a besoin d’ouvrir un compte chez un exchange car souvent cela nécessite de passer par une étape de vérification d’identité en présentant son passeport et en validant avec des selfies ...

Aujourd’hui, la plupart des aspects de la vie humaine sont managés de façon numérique: l’achat des billets de transports, le paiement des factures et des abonnements et la prise de rendez-vous auprès des services publics et même le travail se transforme en distanciel. Vous comprenez maintenant que les solutions de preuves d’identités classiques, ici je parle des documents physiques comme les passeports, les permis de conduire… deviennent obsolètes et dépassés. En plus d’être non vérifiables en ligne et pas du tout pratiques pour le futur, ils sont falsifiables. L’usurpation d’identité touche plus de 210 000 français chaque année causant des dégâts moyen de 2229 euros par victime, bien que dans certains cas, l’histoire tourne au drame avec interdit bancaire, perte d’emploi voire emprisonnement (Lemonde, visité le 20.12.22). Selon le CREDOC le coût global de l’usurpation d’identité pour la société est estimé à 3,9 milliards d’euros par an: 1,4 milliard de préjudice pour l’Unedic, 1 milliard de pertes pour la caisse nationale d’assurance-maladie et 1 milliard pour la caisse d’allocations familiales (Crédoc, visité le 22.12.22).

Le deuxième souci que posent les systèmes de management d’identités actuels est un problème de sécurité des comptes des utilisateurs, la sécurité de leurs données et la confidentialité de leurs activités en ligne. L’utilisation d’un compte google pour vérifier son identité permet à l’entreprise de vous pister et enregistrer toutes sortes d'informations sur vous. Par exemple, quelles sont vos habitudes de consommation, vos préférences et la fréquence de vos achats. Ces données sont ensuite exploitées et vendues à des parties tiers qui peuvent vous cibler par des campagnes publicitaires. Notamment, Facebook et Google utilisent des serveurs centralisés pour stocker les données des utilisateurs (TdG, visité le 24.12.22). Cependant ces serveurs peuvent être vulnérables aux cyber hacks. En 2018 un hacker a réussi à exploiter une faille dans le système de sécurité de Facebook et mettre la main sur les données de 50 millions de leurs utilisateurs (Forbes, visité en 22.12.22). Cela est loin d’être un cas isolé, Equifax a aussi subi un hack qui a touché 147 millions d’individus qui ont trouvé des informations sensibles sur leur personne comme leur numéro de sécurité social sur le darkweb (Csoonline, visité le 22.12.22).

Si vous voulez savoir si vous êtes touché par ces multiples hacks et si vos informations ont fuité sur le darkweb, vous pouvez vous rendre sur le site haveibeenpwned.com Il suffit de saisir votre adresse email, votre numéro de téléphone ou bien votre nom d’utilisateur dans la barre de recherche. Le site vérifiera s’il y a eu des fuites de vos données et si vos informations sont compromises.

Les DID utilisent la blockchain pour rendre la souveraineté et le contrôle des données aux utilisateurs et éliminer les tiers de confiance. Elles offrent aux individus la possibilité de créer et de gérer leurs identifiants en ligne, plutôt que de dépendre des gouvernements ou des entreprises pour s’authentifier. Cela permet d’améliorer l’expérience de l’utilisateur sur le web et préserver la confidentialité de la vie privée des utilisateurs. Cela en contrôlant qui aurait accès à vos données et préciser l’information spécifique à transmettre sans divulguer le reste. Cela peut permettre la monétisation de son identité en vendant l’accès à ses données personnelles aux entreprises intéressées.

La blockchain prend la préservation des informations à un niveau supérieur grâce à la technologie du zero knowledge proof (ZKP). Sans entrer les détails techniques des ZKP, cette technologie peut vous permettre de remplir une condition, par exemple d’être majeur sans communiquer sa date de naissance, nom, prénom et adresse. Par exemple, si vous voulez acheter une bouteille de vin en ligne, vous pouvez prouver que vous avez plus que 18 ans sans communiquer une information de plus, chose qui n’est pas possible en mettant sa carte d’identité en ligne.

C’est quoi les attaques sybil ? C’est l’utilisation de faux comptes et de bots en masse pour submerger une application et exploiter ou manipuler les utilisateurs. D’ailleurs ce phénomène est tellement problématique qu’il a remis en cause l’accord d’achat de twitter par Elon Musk, qui a estimé qu’un grand volume d’activités sur twitter est dû aux bots. Ces armées de bots peuvent être utilisées pour propager les fausses informations et influencer l’opinion publique. La DID résout ce problème en vérifiant l’authenticité de votre identité, que vous êtes bien humain et non pas un bot.

Une des hypothèses principales consiste à mettre en avant l’utilisation de  soulbound tokens. Les soulbound tokens sont des jetons non-fongibles liés (NFT) qui ne peuvent pas être transférés une fois créés. Cela signifie qu'une fois qu'un soulbound token a été "minté" (c'est-à-dire créé et enregistré sur la blockchain), il ne peut pas être vendu ou loué à un autre utilisateur. Les soulbound tokens sont généralement utilisés pour représenter des objets ou des actions uniques dans un jeu en ligne ou une application décentralisée (dApp). Par exemple, un soulbound token pourrait être utilisé pour représenter un objet rare dans un jeu vidéo, ou pour représenter un droit de vote dans une organisation décentralisée. L'utilisation de la technologie des soulbound tokens pour créer des scores de crédit est un autre cas d'utilisation qui se développe rapidement. Ces scores de crédit sur la blockchain permettent aux utilisateurs de la finance décentralisée (DEFI) de développer une réputation et de demander des prêts sans avoir à déposer de grandes garanties. Les universités et les écoles de formation peuvent également profiter de cette technologie en décernant des soulbound tokens plutôt que des certificats en papier à leurs diplômés...

Microsoft a lancé un projet appelé ION qui utilise la technologie de la blockchain pour gérer les identités en ligne. ION est un projet open source qui fonctionne sur la blockchain de Bitcoin et permet de stocker des informations sur l'identité des utilisateurs, comme des certificats ou des licences.

Litentry est aussi un projet de DID qui agrège vos différents identifiants à la blockchain Polkadot. L’ensemble de vos données sont accessibles sur une simple application mobile. Le projet développe un concept de stacking de l’identité où l’utilisateur peut mettre à disposition ces données personnelles et son identité dans le marché pour gagner un revenu (Litentry, visité le 24.12.22).

Kilt protocol est un projet qui développe plein d’outils de management d’identité ce qui permet de gérer les documents tel que le passeport et le permis de conduire. Le projet Kilt a déjà des partenaires prêts à utiliser leur solution tel que le ministère d’énergie Allemand (Kilt, visité le 24.12.22).

Les identités décentralisées représentent une solution prometteuse pour résoudre les problèmes de gestion de l'identité en ligne, tels que la difficulté de mémorisation des mots de passe et l'usurpation d'identité, ainsi que pour protéger la confidentialité et la sécurité des données des utilisateurs. Le déploiement de cette technologie sur le web3 pourrait avoir un impact considérable sur la façon dont nous gérons nos identités numériques et sur la façon dont nous interagissons avec les services en ligne.